IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Пингвинятник (ОС *NIX) (http://www.imho.ws/forumdisplay.php?f=76)
-   -   Почему не пускает на веб из инета или проблема ipfw? (http://www.imho.ws/showthread.php?t=144969)

Hrusha 13.12.2010 17:16
Почему не пускает на веб из инета или проблема ipfw?
 
Вложений: 1
Есть сеть согласно рисунка. Сервер - это FreeBSD 6.3, на нем настроено ipfw+natd.
rc.conf:
Код:
ipv6_enable="NO"

gateway_enable="YES"

defaultrouter="aaa.bbb.ccc.2"
ifconfig_fxp0="inet aaa.bbb.ccc.1 netmask 255.255.255.252"
ifconfig_fxp1="inet xxx.yyy.zzz.1 netmask 255.255.255.248"

natd_enable="YES"
natd_flags="-config /etc/natd.conf"
natd_interface="fxp0"

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/home/rc.firewall"

natd.conf:
Код:

same_ports yes
use_sockets yes
rc.firewall:
Код:

${fwcmd} add divert natd all from any to any via fxp0
${fwcmd} add allow all from any to any via fxp0
${fwcmd} add allow all from any to any via fxp1
Сервер1 - это FreeBSD 8.0 на нем стоит ipfw+apache.
rc.conf:
Код:

ipv6_enable="NO"

gateway_enable="YES"

defaultrouter="xxx.yyy.zzz.1"
ifconfig_fxp0="inet xxx.yyy.zzz.2 netmask 255.255.255.248"

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/home/rc.firewall"

apache22_enable="YES"
rc.firewall:
Код:

${fwcmd} add allow all from any to any via fxp0
Адреса aaa.bbb.ccc.0\30 и xxx.yyy.zzz.0\29 не пересекаются, а так же являются публичными, то есть реальными в инете.

Когда я из инета пытаюсь доступиться к веб на xxx.yyy.zzz.2 пишет time out. При этом пинг на xxx.yyy.zzz.2 работает, но телнетом порт 80 недоступен. Хотя если сделать sockstat на сервер1, показывает, что порт открыт. С консоли Сервер через телнет порт 80 доступен. Как можно сделать, что бы доступиться к вэб через инет?

FantomIL 13.12.2010 21:05
Цитата:
Сообщение от Hrusha (Сообщение 1731696)
Адреса aaa.bbb.ccc.0\30 и xxx.yyy.zzz.0\29 не пересекаются, а так же являются публичными, то есть реальными в инете.
А зачем вам в таком случае НАТ, позвольте полюбопытствовать?
Собственно в это и проблема. А точнее в отсутствии правила редиректа порта 80 с интерфейса aaa.bbb.ccc.1 на сервере на адрес xxx.yyy.zzz.2 на сервере 1.
Поскольку НАТ-у на сервере глубоко параллельно что именно он транслирует - реальные адреса или приватные. Но вот на правила порт-форвардинга ему не параллельно. А то что вы на файрволле на сервере весь трафик разрешили это не значит, что вы форвардите запросы дальше.
Либо настраивайте порт-форвард и обращайтесь к серверу 2 через "внешний" интерфейс сервера, либо отменяйте НАТ и настройте сервер, как обычный маршрутизатор.


Часовой пояс GMT +4, время: 17:33.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.